Задать вопрос

Организация безопасного шлюза в офисе, выбор оборудования

Есть маленькая, но очень гордая компания. Есть несколько удаленных филиалов в России и Украине. Имеется цель создать безопасный шлюз с доступом в интернет, который со временем обрастет VPN сервером для обмена данными между филиалами. Размер сети в головном офисе — пока что ~15 пк, возможен рост до ~50. В филиалах будет максимум до ~20 рабочих мест, сейчас ~10.
Пока что в головном офисе (да и в остальных тоже) интернетом заведует обычный SOHO роутер, который конечно же не является прекрасным решением. Хочу сделать нормальный шлюз + прокси+openvpn сервер. Потому вопрос, как рассчитать нагрузку для выбора железа?
В плане вариантов решения — либо поставить железку от микротика (рассматриваю вариант RB711GA-5HnD), либо использовать вариант с linux машиной, где поднимается squid+iptables/ipfw+openvpn (опять таки, с точки зрения безопасности — стоит ли это всё делать на одной физической машине?). Опыт работы с линуксом и микротиком есть, с прокси и iptables — тоже есть, но меньше. Пока что нравится вариант с микротиком из -за его компактности и потребления, а также более удобного управления, как по мне.
Подскажите, какие видите плюсы/минусы данных решений, или может своей виденье решения проблемы? а также что выбрать по железу?
  • Вопрос задан
  • 7864 просмотра
Подписаться 6 Оценить 2 комментария
Пригласить эксперта
Ответы на вопрос 6
@BAV_Lug
Только начал читать Ваш вопрос и сразу в голову пришло — микротик. Так, что однозначно он. Только вот у Вас что все клиенты будут на вафле? У той модели, что Вы выбрали, только один лан. Я бы посмотрел другую модель, например RB751U-2HnD.
Ответ написан
nochkin
@nochkin
Этот Mikrotik RB711GA-5HnD довольно слабый для VPN и он там будет очень грустно крутиться. Для VPN лучше либо специализированное железо, либо что-то помощнее.
Можно, конечно, оставить этот Mikrotik, а VPN сделать в виде отдельного сервера, но я не уверен что Mikrotik потянет такое количество ПК с полной нагрузкой.

Если критично что-то очень маленькое близкое размером с MikroTik, то можно попробовать нечто на Intel Atom или даже VIA C7 (на C7 есть Padlock, который поможет для OpenVPN).
Если свобода на размер немного есть, то я бы поставил что-то на i5 на Mini-ITX.

Если, все-таки, VPN не критичен, а клиенты не качают тяжелые торренты или типа такого, то тогда те Mikrotik'и подойдут.
Ответ написан
@rinx
Берите нормальный сервер и ставьте шлюз на основе PfSence. Просто шикарные вещи на нём можно строить. Весь нужный функционал там есть. Есть возможность настроить VPN IpSec, можно поставить Squid в качестве пакета, настроить балансировку каналов или работу с резевным каналом. В сети информации много. Но решение просто шикарное!
Ответ написан
Комментировать
2zaits
@2zaits
Мой опыт pfsence.
Сейчас есть сетап на PIII :)
Работает офис порядка 100 пользователей.
VPN тунели с филиалами IPSec для удаленный сотрудников openVPN
Для wifi captive портал.

Причем pfsence умеет Ldap или Radius если вам вдруг надо.
До этого сетапа жили на ms isa server.
Ответ написан
Комментировать
Diam0n
@Diam0n
поставил в офисе (20+ машин) FreeBSD +ipfw + openvpn
Ответ написан
@sim-dev
Я, конечно, не уверен, но может быть вам подойдет мой девайс: АПКШ «Континент», что это и каковы перспективы использования в мирных целях? ?
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы